Introduction L’objectif principal d’un réseau d’entreprise est de partager des ressources : imprimantes, fichiers, …
Pour organiser les ordinateurs dans un réseau les administrateurs
peuvent utiliser deux méthodes :
- Groupe de travail;
- Domaine.
la principale différence entre les deux méthode est la manière
dont les ordinateurs et les autres ressources du réseau sont gérés.
2 OUZAOUIT Introduction Dans un groupe de travail :
– Tous les ordinateurs sont identiques, aucun ordinateur ne contrôle les autres.
– Chaque ordinateur partage ces propres ressources
– Chaque ordinateur possède ces propres comptes d’utilisateurs stockés sur la base de données SAM
Pour ouvrir une session sur l’un des ordinateurs et accéder à ces ressources, Vous devez disposer d’un compte sur cet ordinateur.
Administration et sécurité décentralisées
3 OUZAOUIT Introduction Dans un domaine : – Un ou plusieurs ordinateurs contrôlent les autres. on les appelle des contrôleurs de domaines (DC). ils permettant de localiser et gérer l’accès aux ressources du domaine.
– Chaque ordinateur possède ces propres comptes utilisateurs (dans la base de
données SAM), Permettant d’ouvrir une session sur l’ordinateurs en local et
accéder à ces ressources.
– Il y a aussi des comptes de domaine
stockés sur le contrôleur de domaine
permettant d’accéder à toutes les machines et
ressources du domaine.
– Administration et sécurité centralisées
4 OUZAOUIT Introduction Groupe de travail Domaine Il n’y a en général pas plus de vingt Un domaine peut être constitué de ordinateurs sur ce type des milliers d’ordinateurs. réseaux.
Un groupe de travail n’est pas protégé Un domaine est protégé par un
par un mot de passe mot de passe
tout utilisateur peut joindre sa Pour joindre une machine au
machine au groupe. domaine vous devez fournir un mot de passe
Tous les ordinateurs doivent se Les ordinateurs peuvent se trouver
trouver sur le même réseau local ou sur des réseaux locaux différents. le même sous-réseau 5 OUZAOUIT 1. Vue d’ensemble de l’Active Directory
Vue d'ensemble d'AD DS
Que sont les domaines AD DS ? Que sont les unités d'organisation ? Qu'est-ce qu'une forêt AD DS ? Qu'est-ce que le schéma AD DS ? Les partitions AD Processus de connexion AD DS
6 OUZAOUIT 1. Vue d’ensemble de l’Active Directory Active Directory est le service d’annuaire (bibliothèque) de la famille Windows. – Le rôle de l'annuaire Active Directory est de stocker d’une manière centralisé les information relatives aux objets d’un réseau et d’ y facilité l’accès, la recherche et la modification.
– Les objets peuvent être les comptes utilisateurs, les groupes, les ordinateurs, les imprimantes, les dossiers, applications …
– Il existe 5 rôles Active Directory qui sont :
• AD Domain Services (AD DS): Annuaire
• AD Certificate Services (AD CS): gestion de certificats numériques
• AD Federation Services (AD FS): Ressources partagées
• AD Right Management Services (AD RMS): Sécurisation des données
• AD Lightweight Directory Services (AD LDS): version allégée d’Active Directory.
7 OUZAOUIT 1. Vue d’ensemble de l’Active Directory AD DS se compose à la fois de composants physiques et logiques
Composants physiques Composants logiques
• Base de données AD DS • Partitions
• Contrôleurs de domaine • Schéma
• Serveur de catalogue • Domaines
global • Arborescences de domaines • Contrôleur de domaine en lecture seule RODC • Forêts
• Sites
• Unités d'organisation
8 OUZAOUIT 1. Vue d’ensemble de l’Active Directory Composants physiques Base de données: Stocke les informations AD DS. Il s'agit d'un fichier NTDS.DIT qui se trouve sur chaque contrôleur de domaine. Contrôleur de domaine: serveur active directory qui gère le domaine et qui contient la base de données AD. Il authentifie les utilisateurs par protocole Kerberos pour accéder au domaine. Serveur Catalogue global: contrôleur de domaine qui stocke une copie complète de tous les informations sur son domaine et une partie des informations des autres domaines de la foret. Contrôleur en lecture seule RODC: sont des contrôleurs de domaine qui possèdent une copie en lecture de la base de données de l'annuaire. est souvent utilisée dans les filiales où la sécurité et l'assistance informatique sont souvent moins avancées que dans les centres d'affaires principaux. 9 OUZAOUIT 1. Vue d’ensemble de l’Active Directory Composants logiques Domaine AD: est un ensemble d’objets ( machines, d’utilisateurs, groupes, imprimantes, …) partageant la même base de données active directory et regroupées sous un même nom. Arborescence de domaine: est constitué de plusieurs domaines, un espace de noms contigu. foret: est constituée d'un arbre ou de plusieurs arbres qui ne forment pas un espace de nom contigu. 10 OUZAOUIT 1. Vue d’ensemble de l’Active Directory Unité d’organisation OU: est un type d’objet conteneur qui permet d’organiser logiquement les objets dans un domaine. Un site: est une combinaison d’un ou plusieurs sous réseaux connectés entre eux par une liaison à haut débit fiable (liaison LAN). Un Schéma: Définit la liste des attributs (informations sur l’objet comme nom, prénom…) que tous les objets peuvent avoir dans AD DS.
11 OUZAOUIT 1. Vue d’ensemble de l’Active Directory Active Directory stocke sa base de donnée dans un fichier unique NTDS.DIT. Cette base de données est divisée logiquement en cinq partitions (Naming Context): la partition de schéma, la partition de configuration, la partition de domaine. La partition application La partition catalogue global (PAS) 12 OUZAOUIT 1. Vue d’ensemble de l’Active Directory La partition de configuration contient la topologie de la forêt, c'est-à-dire les informations concernant les domaines, les sites, les connexions entre les contrôleurs, etc... Concrètement, il existe qu'une seule partition de configuration par forêt. Lors d'une modification, cette partition sera dupliquée sur tous les contrôleurs de domaine de tous les domaines de la forêt.
La partition de schéma contient le schéma étendu au niveau de la forêt, c'est-à-dire l'ensemble des définitions des classes (utilisateur, ordinateur, groupe…) et attributs (nom, emplacement, SID…) des objets pouvant être créer dans l'annuaire Active Directory. Pour assurer la cohérence de la définition de chaque classe d'objet, il n'existera qu'un seul schéma par forêt. La partition de schéma est aussi répliquée sur l'ensemble des contrôleurs de domaine de tous les domaines de la forêt. 13 OUZAOUIT 1. Vue d’ensemble de l’Active Directory La partition de domaine
contient les informations concernant tous les objets d'un domaine. Elle est spécifique à un domaine, donc, les informations qu'elle contient seront répliquer sur l'ensemble des contrôleurs de domaine appartenant au même domaine. Par conséquent, dans une forêt composée de plusieurs domaines, il existera plusieurs partitions de domaine (une par domaine).
La partition application
la partition application, stocke les données sur les applications utilisées dans Active Directory, comme par exemple, les zones intégrées à Active Directory d'un serveur DNS. Cette partition est répliquée sur des contrôleurs de domaine que vous définissez.
La partition Catalogue global
Cette partition est également appelé Partial Attribute Set (PAS) dans certains documents. Elle contient une copie partiel de tous les objets du domaine. Il est répliqué sur tous les catalogues globaux dans la forêt.
14 OUZAOUIT 1. Vue d’ensemble de l’Active Directory Schéma
Configuration
Domaine A
Schéma Domaine A Configuration Contrôleur domaine Schéma Domaine A Configuration Domaine B Domaine B Domaine B
Catalogue global Schéma
Configuration Contrôleur Domaine B domaine
Contrôleur domaine 15 OUZAOUIT 1. Vue d’ensemble de l’Active Directory Processus de connexion AD DS
1. Le compte d'utilisateur est
authentifié auprès de DC1 pour joindre le domaine DC1 2. DC1 retourne un ticket TGT (Ticket Granting Ticket) au client 3. Le client utilise le ticket TGT pour solliciter l'accès à WKS1 4. DC1 accorde l'accès à WKS1 5. Le client utilise le ticket TGT WKS1 SVR1 pour solliciter l'accès à SVR1 6. DC1 retourne l'accès à SVR1 16 OUZAOUIT 2. Les maitres d’opérations AD Les Maîtres d’opérations ou FSMO (Flexible Single Master Operation) désignent certains types de contrôleur de domaine qui ont des rôles spécifiques.
Certains rôles sont uniques pour tous les domaines de la forêt ;
d’autres rôles sont plus simplement uniques à l’intérieur d’un domaine.
Voici les 5 rôles que nous allons étudier :
• Forêt • Domaine • Maître d'attribution • RID master de noms de domaine • Maître d'infrastructure • Contrôleur de schéma • Maître d'émulateur de contrôleur de domaine principal PDC 17 OUZAOUIT 2. Les maitres d’opérations AD Maitre d’attribution de Maitre de schéma nom de domaine – Il est le seul à avoir un accès – Appelé aussi maître de en écriture sur le schéma nommage Active Directory pour – Ce rôle permet principalement l’ensemble de la forêt. de gérer l’ajout et la – Une fois les modifications suppression d’un domaine effectuées, il les réplique sur dans une forêt. l’ensemble de la forêt. – Il ne peut exister qu'un seul – Il ne peut exister qu'un seul maître de nommage sur contrôleur de schéma sur l'ensemble de la forêt. l'ensemble de la forêt.
18 OUZAOUIT 2. Les maitres d’opérations AD Maitre des ID relatifs Maitre Emulateur PDC Lorsqu’un contrôleur de domaine crée un objet Active Directory (Utilisateur, Il est unique au sein d’un Groupe de sécurité, Ordinateur...), il domaine. assigne à cet objet un identifiant unique de sécurité (SID). Ce dernier est Il permet de Synchroniser constitué de l’identifiant de sécurité les horloges sur tous les du domaine (Domain SID) et d’un contrôleurs de domaine RID (Relative Identifier). Afin d’assurer l’unicité du SID pour un objet (heure et date), Gérer le du domaine, le maître RID alloue verrouillage des comptes, régulièrement des plages de RID à Changer les mots de passe chaque contrôleur qui en fait la demande. et Assurer la compatibilité avec les contrôleurs de domaine Windows NT.
19 OUZAOUIT 2. Les maitres d’opérations AD Maitre Infrastructure Unique au sein d’un domaine, Il a pour objectif de gérer les références ( objets fantômes) entre plusieurs objets. Imaginons qu’un utilisateur d’un domaine A soit ajouté au sein d’un groupe du domaine B. Le contrôleur de domaine « Maître d’infrastructure » deviendra responsable de cette référence et devra s’assurer de la réplication de cette information sur tous les contrôleurs de domaine du domaine, alors un objet fantôme sera créé sur le domaine B afin de faire référence à l’utilisateur du domaine A. De ce fait, si l’objet est modifié ou supprimé à l’avenir, le Maître d’infrastructure devra se charger de déclencher la mise à jour de l’objet fantôme auprès des autres contrôleurs de domaine.
20 OUZAOUIT 2. Les maitres d’opérations AD
21 OUZAOUIT 2. Les maitres d’opérations AD Attribution initiale des maîtres d'opérations
– le premier contrôleur de domaine de la forêt se voit attribuer les
cinq rôles en plus d’être promu catalogue global.
– Pour chaque nouveau domaine supplémentaire au sein de cette
forêt, le premier contrôleur se verra attribuer quant à lui les 3 rôles de niveau domaine.
– Le nombre des maîtres d’opérations dans votre infrastructure est
calculable à l’aide de la formule 2 + (n x 3) où n est le nombre de domaines dans votre forêt.
22 OUZAOUIT 2. Les maitres d’opérations AD Localisation des maîtres d'opérations
- Ou bien on utilise la ligne de commande: NETDOM, DCDIAG ou NTDSUTIL.
- NETDOM est l'outil fournissant le résultat le plus clair. Il suffit de saisir
netdom query /domain:[MONDOMAINE] fsmo
23 OUZAOUIT 3.Installation d’un contrôleur de domaine Installation d'un contrôleur de domaine à partir du Gestionnaire de serveur Installation d'un contrôleur de domaine sur une installation minimale de Windows Server 2012 Mise à niveau d'un contrôleur de domaine Installation d'un contrôleur de domaine en utilisant l'installation à partir du support
24 OUZAOUIT 3.Installation d’un contrôleur de domaine Ouvrez le gestionnaire de serveur, puis cliquez sur "Gérer" puis "Ajouter des rôles et fonctionnalités".
25 OUZAOUIT 3.Installation d’un contrôleur de domaine
26 OUZAOUIT 3.Installation d’un contrôleur de domaine Il va falloir dans la liste cocher "Services AD DS" et validez aussi quand l'assistant vous propose d'installer les outils de gestion.
27 OUZAOUIT 3.Installation d’un contrôleur de domaine Petit descriptif du rôle que l'on souhaite installer.
28 OUZAOUIT 3.Installation d’un contrôleur de domaine Petit descriptif du rôle que l'on souhaite installer.
29 OUZAOUIT 3.Installation d’un contrôleur de domaine Pour éviter de devoir redémarrer manuellement à chaque fin d'installation de service, on coche l'option redémarrage automatique.
30 OUZAOUIT 3.Installation d’un contrôleur de domaine
Phase d'installation surtout ne pas éteindre le serveur.
31 OUZAOUIT 3.Installation d’un contrôleur de domaine Une fois l'installation terminée, nous allons configurer notre serveur pour qu'il devienne contrôleur de domaine. Cliquez sur promouvoir ce serveur en contrôleur de domaine. Depuis Windows Server 2012, la fameuse commande dcpromo qui permette de promouvoir le serveur n'existe plus.
32 OUZAOUIT 3.Installation d’un contrôleur de domaine Comme notre domaine n'existe pas, on crée une nouvelle forêt et on spécifie le nom du domaine qu’on souhaite créé.
33 OUZAOUIT 3.Installation d’un contrôleur de domaine Puis vous définissez le niveau fonctionnel de la forêt et du domaine et définissez le mot de passe de restauration. Ils déterminent les fonctionnalités de domaine ou forêt disponibles sur ADDS. Elles déterminent également les systèmes d’exploitation Windows que vous pouvez exécuter sur les contrôleurs de domaine dans le domaine ou la forêt. Vous ne pouvez pas définir le niveau fonctionnel du domaine à une valeur inférieure au niveau fonctionnel de forêt.
34 OUZAOUIT 3.Installation d’un contrôleur de domaine Si vous créez votre premier domaine dans une infrastructure n’ayant pas de DNS, le message d’erreur suivant est normal : la zone de nom de votre domaine sera créée automatiquement par la suite.
35 OUZAOUIT 3.Installation d’un contrôleur de domaine Le nom NETBIOS de votre domaine est ensuite déterminé, vous pouvez éventuellement le changer :
36 OUZAOUIT 3.Installation d’un contrôleur de domaine Vous devez ensuite préciser les chemins de stockage de l’AD
37 OUZAOUIT 3.Installation d’un contrôleur de domaine Un dernier écran résume votre paramétrage :
38 OUZAOUIT 3.Installation d’un contrôleur de domaine Après configuration le serveur redémarre automatiquement (cela peut être long car de nombreux services sont configurés). L’ouverture de session s’effectue avec le compte administrateur du domaine. Votre domaine est créé.
![[Tuto] Déploiement d’Un Annuaire d’Active Directory – NEPTUNET.fr](https://imgv2-2-f.scribdassets.com/img/document/542302572/149x198/4366a1230d/1637837649?v=1)
